Wie sicher ist das Sparkasse Homebanking?

Hallo Leute,

ich habe ein Konto bei einer Sparkasse und nutze dort auch das Onlinebanking.
Um sich anzumelden ist eine Legitimation und eine 5-stellige PIN erforderlich.

Hatte mich nun schon eine ganze weile gefragt, ob das sicher genug.
Zum Vergleich ist das Login bei der DiBa z.B. schon etwas anspruchsvoller.
Hier benötigt man die Kontonummer und ein ich glaub 13-stelliges Passwort. Danach wird noch nach einem Key gefragt, von dem man lediglich 2 zahlen eingeben muss. Bei jedem Login sind das 2 andere.

Um dann eine Überweisung auszuführen wird seit kurzem das sog. Chip-TAN Verfahren angeboten.
Man generiert mit einem Gerät und der Sparkassenkarte eine TAN, die dann für die Überweisung gilt.
Ist in dem Fall meine Sparkassenkarte und der TAN Generator nur für Transaktionen mit meinem Onlinebanking nutzbar?
Was passiert, wenn ich z.B. meine Sparkassenkarte verliere. Dann fehlt dem Finder doch lediglich meine Legitimation und die meiner Meinung nach viel zu kurze PIN um auf meinem Konto anzustellen, was immer er will oder liege ich da falsch? Eine zeitliche Einschränkung mit der Karte eine TAN zu generieren gibt es wahrscheinlich auch nicht, oder?

Viele viele Fragen...
Ich hoffe Ihr könnt mir weiterhelfen.

... die nach 3 Fehleingaben gesperrt wird. Die Möglichkeit, deine PIN "durch ausprobieren" herauszubekommen, ist also verschwindend gering.

lg
Angel

Dann ist also das LogIn von der DiBa z.B. "überflüssig sicher"?

Hallo Findley,

die Frage ist immer wo gegen sicher.
eine fünfstellige PIN bietet einen ausreichenden Schutz, gegen den Versuch deine PIN zu erraten. Der Schutz ist sicherlich nicht so hoch angesiedelt, wie der einer größeren PIN Länge.

Die Zusatzabsicherung der DiBa ist kein Schutz, vor dem Versuch die PIN zu erraten, sondern ist den "älteren" Angriffszenarien geschuldet, bei der die Kunden Ihre PIN und TAN nach Aufforderung durch fragliche Emails auf irgendwelche Seiten eingegeben haben. Hier war dies eine zusätzliche Hürde für den Angreifer.

Wenn Du deine Karte verlierst (auf der ist der TAN Generator, das Gerät ist nur ein "dummes" Lesegerät), dann benötigt der Angreifer in der Tat "nur" noch deine Onlinepin. oder nur noch deine EC PIN. Oder er muss nur noch deine Unterschrift fälschen und kann per Unterschrift einkaufen gehen. Das ist so! Ist genau das Gleiche, wenn ich mein Autoschlüssel verliere, muss der Angreifer nur noch wissen, wo mein Auto steht usw. usw.

Aber diese Angriffe sind Einzelangriffe. Worum es bei den ChipTAN Verfahren geht, ist die Absicherung gegen die anaonymen Massenangriffen. Ein Standardangriff heute erfolgt auf deinen PC. Der Angreifer muss dazu gar nicht in den Besitz der PIN oder der Karte kommen. Durch geschickte Manipulation der Anzeige in deinem Browser bringt er Dich dazu, statt deinem Auftrag einen anderen vorher manipulierten Auftrag mit diner TAN zu legitimieren.
Und genau gegen diese Form des Betrugs ist das Chip TAN Verfahren eines der sichersten Verfahren.

Viele Grüße

Holger

Also würdet Ihr mir auf jeden Fall dazu Raten mein Onlinebanking vom ITAN verfahren auf das Chip TAN Verfahren umzustellen?

Generieren der TAN geht noch, aber vom Banksystem akzeptiert wird eine solche TAN nicht mehr, da sie nicht von der passenden Karte generiert wurde - schließlich hast Du doch sicher die neue Karte von der Bank für das chipTAN-Verfahren hinterlegen lassen.

Otto

sag lieber "könntest".
Findley macht sich Gedanken um die Sicherheit, also wird er/sie sicherlich die Eingaben kontrollieren.
@Findley: Wichtig ist, dass du mit der Chipkarte eine TAN erzeugst, die an deinen Auftrag gebunden ist. Ein Betrüger will ja seinen eigenen Auftrag von dir durchführen lassen und das kannst du bei der ChipTAN erkennen, wenn du sorgfältig arbeitest.

Gruß
Raimund

Bei einem optischen TAN-Generator hälst Du das Teil an den Bildschirm und bekommst anschließend im Generator Empfängerkonto und Betrag nacheinander angezeigt. Das muss mit OK bestätigt werden, sonst kommt keine TAN.
Entsprechen diese Daten nicht dem Originalauftrag gem. Papier-Rechnung (NICHT gem. Bildschirm!!!) gibst Du die TAN nicht ein, denn dann nennst Du einen Trojaner Deinen Mitbewohner.

Bei einem Comfort-Gerät musst Du Empfängerkonto und Betrag im TAN-Generator nochmal eingeben. Auch da fällt dann auf, wenn es nicht zum Original-Auftrag paßt, weil die aus Deinen gegengetippten Daten errechnete TAN nicht mit der des gefälschten Auftrags übereinstimmt.

Darin besteht die Sicherheit.

Ein Trojaner verfälscht entweder Deine Überweisungsdaten auf dem Weg zur Bank oder er fälscht Deine Anzeige (Flickergrafik oder zurückgemeldete Daten).
In beiden Fällen merkst Du das im Display des TAN-Generators, weil die Daten nicht mit der Rechnung übereinstimmen.
Auf den TAN-Generator hat der Trojaner keinen Einfluss, weil der nicht mit dem PC verbunden wird, er rechnet lediglich nach dem Algorithums, der auf dem Chip Deiner Kontokarte hinterlegt ist.

Ich habe sicherlich NUR eine Billig-Ausgabe eines chip-TAN-Gerätes; ich brauche nicht zu halten sondern ich muß Knöppche drücke - (aber das dürfen nur Ekschperde - tröste ich mich).

Die genannten Mininimal-Anforderungen an Aufmerksamkeit kann ich derzeitig noch erfüllen, obwohl ich schon etwas älter als 30 bin.

Ob Du einen Leser hast, der chipTAN optisch prinzipiell kann, erkennst Du daran, das auf der Rückseite oben ein paar kleine Löcher mit 2-3 mm Durchmesser vorhanden sind. Fehlen diese Löcher, ist es tatsächlich noch ein Leser für ausschließlich manuelle Eingabe.



Es wird auf alle Fälle bis Mitte 2011 noch Sparkassen geben, bei denen chipTAN optisch nicht geht, "nur" die manuelle Variante.

Otto